Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\system.lnk
Вредоносные функции
Запускает на исполнение (эксплоит)
- '%WINDIR%\hh.exe' -decompile %ALLUSERSPROFILE%\Support %TEMP%\Helper.png
- '%WINDIR%\hh.exe' -decompile Startup %TEMP%\Helpfile.jpg
- '<SYSTEM32>\rundll32.exe' ieadvpack.dll, RegisterOCX "wscript.exe %ALLUSERSPROFILE%\Support\licenseverification.vbs fYBtqEucjehr84MW 6WYqk7CBgZAnxdzH pexe"
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\helpdocumented.docm
- %TEMP%\helper.png
- %TEMP%\helpfile.jpg
- %ALLUSERSPROFILE%\support\licenseverification.vbs
- %ALLUSERSPROFILE%\support\main.png
- %TEMP%\~wrd0000.tmp
- %TEMP%\~wrl0001.tmp
- %TEMP%\~wrd0002.tmp
- %TEMP%\[1]<Имя файла>.docm
Присваивает атрибут 'скрытый' для следующих файлов
- %TEMP%\~wrl0001.tmp
Удаляет следующие файлы
- %TEMP%\~wrl0001.tmp
- %TEMP%\helper.png
- %TEMP%\helpfile.jpg
Перемещает следующие файлы
- %TEMP%\helpdocumented.docm в %TEMP%\~wrl0001.tmp
- %TEMP%\~wrd0002.tmp в %TEMP%\[1]<Имя файла>.docm
Подменяет следующие файлы
- %TEMP%\helpdocumented.docm
Сетевая активность
Подключается к
- 'ma#######ng.pythonanywhere.com':443
- 'oc##.#ectigo.com':80
TCP
Другие
- 'ma#######ng.pythonanywhere.com':443
UDP
- DNS ASK ma#######ng.pythonanywhere.com
- DNS ASK oc##.#ectigo.com
Другое
Запускает на исполнение
- '%ProgramFiles%\microsoft office\office14\excel.exe' /automation -Embedding
